<?php
include './config.php';
session_start();
// 检查表单是否通过POST方法提交
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    // 获取用户名和密码，并进行基本的输入清理
    $username = $conn->real_escape_string(trim($_POST['user']));
    $password = hash('sha256', $_POST['pass']); // 注意：建议使用更安全的密码哈希算法，如password_hash()

    

        // 准备SQL查询语句，使用参数化查询或至少转义特殊字符以防止SQL注入
        $sql = "SELECT * FROM users WHERE user='$username' AND pass='$password'";
        $result = $conn->query($sql);
        if ($result === FALSE) {
            // 查询失败，输出错误消息或记录到日志
            error_log("Query failed: " . $conn->error);
            // 可以考虑重定向到错误页面或显示错误消息
            die($conn->error);
        }
        if ($result && $result->num_rows > 0) {
            // 登录成功，设session和cookie并重定向到index.php
            $_SESSION['login_user'] = $username;
	    setcookie("login_user", $username);
            header("Location: index.php");
            exit(); // 终止脚本执行
        } else {
            // 登录失败，重定向到登录页面并附带错误参数
            header("Location: index.html?error=1&mess=loginf");
            exit(); // 终止脚本执行
        }

        // 检查用户名是否存在
        
    
}
?>
